1、IIS安全設置圖文教程作者： 字體：增加 減小 類型：轉(zhuǎn)載 時間：2011-01-14 每個站點的根目錄為IIS來賓帳號（IUSR_XXXX）的只讀權(quán)限,站內(nèi)數(shù)據(jù)庫目錄、程序上傳目錄、數(shù)據(jù)庫備份目錄為IIS來賓帳號（IUSR_XXXX）修改權(quán)限。IIS安全設置 以我們幫客戶維護網(wǎng)站經(jīng)驗來看，多用戶賬戶分離式比較安全的，一個網(wǎng)站有問題不會影響別的網(wǎng)站安全。大家可以看這篇文章(IIS 多站點 用戶隔離視頻教程)再接著看下面的文章。服務器要考慮穩(wěn)定、安全、性能修改默認站點為e:webdefaultwww，刪掉c:/inetpub目錄，刪除iis不必要的映射目錄安排： 在E盤建一個web目錄，每個站點

2、的主域名為目錄名建目錄，再以每個站點的二級域名為目錄名建目錄做為網(wǎng)站根目錄。 權(quán)限設置思路：每個站點的根目錄為IIS來賓帳號（IUSR_XXXX）的只讀權(quán)限,站內(nèi)數(shù)據(jù)庫目錄、程序上傳目錄、數(shù)據(jù)庫備份目錄為IIS來賓帳號（IUSR_XXXX）修改權(quán)限。并對有修改權(quán)限的目錄在IIS中把執(zhí)行權(quán)限設置為：無。這樣即使網(wǎng)站程序出現(xiàn)漏洞，入侵者能寫入asp木馬的目錄沒有腳本運行權(quán)限，有腳本運行權(quán)限的目錄又無法修改和創(chuàng)建文件。另外access數(shù)據(jù)庫沒必要改擴展名為asp或asa，規(guī)矩點只用mdb后綴，然后參考下文不讓下載就行了。要支持.net程序還要有Network Service的讀、寫、修改權(quán)限。網(wǎng)站根

3、目錄權(quán)限是從e:繼承的，取消繼承，添加來賓帳戶只讀，ftp帳戶修改。對一些asp程序的access數(shù)據(jù)庫目錄、上傳目錄等去掉繼承，添加修改權(quán)限，然后在iis中查看目錄屬性，執(zhí)行權(quán)限設置：無。修改IIS的MIME映射增加支持flv格式視頻播放支持.flvvideo/x-flv增加支持7z壓縮格式下載支持.7zapplication/x-7z-compress刪除access數(shù)據(jù)庫mdb格式，不讓下載.mdb文件，安全考慮。.mdbapplication/x-msaccessWeb站點權(quán)限設定（建議） 腳本源訪問 不允許 讀取 允許 寫入 不允許 目錄瀏覽 建議關閉 記錄訪問 建議關閉網(wǎng)站開啟日志

4、記錄時使用 索引資源 建議關閉 執(zhí)行權(quán)限 純腳本在IIS管理器中刪除必須之外的任何沒有用到的映射（保留asa、asp、php、等必要映射即可） 啟用父級路徑HTTP404 Not Found出錯頁面定制 如果選擇向客戶端發(fā)送下列文本錯誤消息，就屏蔽了asp程序出錯信息。啟用默認文檔 建議不使用索引，占磁盤空間和系統(tǒng)資源。 建議不使用日志，除非你不興趣每天審查日志。 如果啟用，最好不要使用缺省的目錄，建議更換一個記日志的路徑， 同時設置目錄訪問權(quán)限加上網(wǎng)絡服務或者IIS工作組修改權(quán)限。 在擴展中啟用ASP支持編輯權(quán)限設置批處理ASP 執(zhí)行時，是以IUSR_機器名的身份訪問硬盤的，這里沒給該用戶帳

5、號權(quán)限，ASP也就不能讀寫硬盤上的文件了。 下面要做的就是給每個虛擬主機用戶設置一個單獨的用戶帳號，然后再給每個帳號分配一個允許其完全控制的目錄。 如下圖所示，打開計算機管理本地用戶和組用戶，在右欄中點擊鼠標右鍵，在彈出的菜單中選擇新用戶：在彈出的新用戶對話框中根據(jù)實際需要輸入用戶名、全名、描述、密碼、確認密碼，并將用戶下次登錄時須更改密碼前的對號去掉，選中用戶不能更改密碼和密碼永不過期。本例是給第一虛擬主機的用戶建立一個匿名訪問Internet 信息服務的內(nèi)置帳號IUSR_VHOST1， 訪問此虛擬主機時，都是以這個身份來訪問的。輸入完成后點創(chuàng)建即可。可以根據(jù)實際需要，創(chuàng)建多個用戶，創(chuàng)建完畢

6、后點關閉：現(xiàn)在新建立的用戶已經(jīng)出現(xiàn)在帳號列表中了，在列表中雙擊該帳號，以便進一步進行設置：在彈出的IUSR_VHOST1（即剛才創(chuàng)建的新帳號）屬性對話框中點隸屬于選項卡：剛建立的帳號默認是屬于Users組，選中該組，點刪除：現(xiàn)在出現(xiàn)的是如下圖所示，此時再點添加：在彈出的選擇組對話框中找到Guests，點添加，此組就會出現(xiàn)在下方的文本框中，然后點確定：出現(xiàn)的就是如下圖所示的內(nèi)容，點確定關閉此對話框：打開Internet信息服務，開始對虛擬主機進行設置，本例中的以對第一虛擬主機設置為例進行說明，右擊該主機名，在彈出的菜單中選擇屬性：彈出一個第一虛擬主機屬性的對話框，從對話框中可以看到該虛擬主機用戶

7、的使用的是F:VHOST1這個文件夾：暫時先不管剛才的第一虛擬主機屬性對話框，切換到資源管理器，找到F:VHOST1這個文件夾，右擊，選屬性安全選項卡，此時可以看到該文件夾的默認安全設置是Everyone完全控制（視不同情況顯示的內(nèi)容不完全一樣），首先將最將下的允許將來自父系的可繼承權(quán)限傳播給該對象前面的對號去掉：此時會彈出如下圖所示的安全警告，點刪除：此時安全選項卡中的所有組和用戶都將被清空（如果沒有清空，請使用刪除將其清空），然后點添加按鈕。將如圖中所示的Administrator及在前面所創(chuàng)建的新帳號IUSR_VHOST1添加進來，將給予完全控制的權(quán)限，還可以根據(jù)實際需要添加其他組或用戶

8、，但一定不要將Guests組、IUSR_機器名這些匿名訪問的帳號添加上去！再切換到前面打開的第一虛擬主機屬性的對話框，打開目錄安全性選項卡，點匿名訪問和驗證控制的編輯：在彈出的驗證方法對方框（如下圖所示），點編輯：彈出了匿名用戶帳號，默認的就是IUSR_機器名，點瀏覽：在選擇用戶對話框中找到前面創(chuàng)建的新帳號IUSR_VHOST1，雙擊：此時匿名用戶名就改過來了，在密碼框中輸入前面創(chuàng)建時，為該帳號設置的密碼：再確定一遍密碼：OK，完成了，點確定關閉這些對話框。 經(jīng)此設置后，第一虛擬主機的用戶，使用 ASP 的FileSystemObject 組件也只能訪問自己的目錄：F:VHOST1下的內(nèi)容，當

9、試圖訪問其他內(nèi)容時，會出現(xiàn)諸如沒有權(quán)限、硬盤未準備好、5a8zd_00服務器內(nèi)部錯誤等出錯提示了。另：如果該用戶需要讀取硬盤的分區(qū)容量及硬盤的序列號，那這樣的設置將使其無法讀取。如果要允許其讀取這些和整個分區(qū)有關的內(nèi)容，請右鍵點擊該硬盤的分區(qū)（卷），選擇屬性安全，將這個用戶的帳號添加到列表中，并至少給予讀取權(quán)限。由于該卷下的子目錄都已經(jīng)設置為禁止將來自父系的可繼承權(quán)限傳播給該對象，所以不會影響下面的子目錄的權(quán)限設置。IIS6.0的默認權(quán)限和用戶權(quán)限設置小結(jié)作者： 字體：增加 減小 類型：轉(zhuǎn)載 時間：2008-09-27 網(wǎng)上高手整理的一些win服務器下，ntfs的權(quán)限設置NTFS 權(quán)限 目錄

10、用戶組 權(quán)限 %windir%helpiishelpcommon Administrators 完全控制 %windir%helpiishelpcommon System 完全控制 %windir%helpiishelpcommon IIS_WPG 讀取、執(zhí)行 %windir%helpiishelpcommon Users（請參見“注意 1”。） 讀取、執(zhí)行 %windir%IIS Temporary Compressed Files Administrators 完全控制 %windir%IIS Temporary Compressed Files System 完全控制 %windir%I

11、IS Temporary Compressed Files IIS_WPG 完全控制 %windir%IIS Temporary Compressed Files Creator owner 完全控制 %windir%system32inetsrv Administrators 完全控制 %windir%system32inetsrv System 完全控制 %windir%system32inetsrv Users 讀取、執(zhí)行 %windir%system32inetsrv*.vbs Administrators 完全控制 %windir%system32inetsrvASP compile

12、d templates Administrators 完全控制 %windir%system32inetsrvASP compiled templates IIS_WPG 完全控制 %windir%system32inetsrvHistory Administrators 完全控制 %windir%system32inetsrvHistory System 完全控制 %windir%system32Logfiles Administrators 完全控制 %windir%system32inetsrvmetaback Administrators 完全控制 %windir%system32in

13、etsrvmetaback System 完全控制 InetpubAdminscripts Administrators 完全控制 Inetpubwwwroot（或內(nèi)容目錄） Administrators 完全控制 Inetpubwwwroot（或內(nèi)容目錄） System 完全控制 Inetpubwwwroot（或內(nèi)容目錄） IIS_WPG 讀取、執(zhí)行 Inetpubwwwroot（或內(nèi)容目錄） IUSR_MachineName 讀取、執(zhí)行 Inetpubwwwroot（或內(nèi)容目錄） ASPNET（請參見“注意 2”。） 讀取、執(zhí)行 注意 1：在使用基本身份驗證或集成身份驗證時以及在配置自定義

14、錯誤時，都必須對此目錄擁有相應的權(quán)限。例如，在出現(xiàn)錯誤 401.1 時，只有向已登錄用戶授予了讀取 4011.htm 文件的權(quán)限，該用戶才會看到預期的自定義錯誤詳細信息。 注意 2：默認情況下，IIS 5.0 隔離模式中使用 ASP.NET 作為 ASP.NET 進程標識。如果將 ASP.NET 切換到 IIS 5.0 隔離模式，則 ASP.NET 必須對內(nèi)容區(qū)域具有訪問權(quán)限。IIS 幫助中對 ASP.NET 進程隔離進行了詳細說明。有關其他信息，請訪問下面的 Microsoft 網(wǎng)站： ASP.NET 進程隔離 ( 注冊表權(quán)限 位置 用戶組 權(quán)限 HKLMSystemCurrentContr

15、olSetServicesASP Administrators 完全控制 HKLMSystemCurrentControlSetServicesASP System 完全控制 HKLMSystemCurrentControlSetServicesASP IIS_WPG 讀取 HKLMSystemCurrentControlSetServicesHTTP Administrators 完全控制 HKLMSystemCurrentControlSetServicesHTTP System 完全控制 HKLMSystemCurrentControlSetServicesHTTP IIS_WPG 讀取

16、 HKLMSystemCurrentControlSetServicesIISAdmin Administrators 完全控制 HKLMSystemCurrentControlSetServicesIISAdmin System 完全控制 HKLMSystemCurrentControlSetServicesIISAdmin IIS_WPG 讀取 HKLMSystemCurrentControlSetServicesw3svc Administrators 完全控制 HKLMSystemCurrentControlSetServicesw3svc System 完全控制 HKLMSystem

17、CurrentControlSetServicesw3svc IIS_WPG 讀取 Windows 用戶權(quán)限 策略 用戶 從網(wǎng)絡訪問此計算機 Administrators 從網(wǎng)絡訪問此計算機 ASPNET 從網(wǎng)絡訪問此計算機 IUSR_MachineName 從網(wǎng)絡訪問此計算機 IWAM_MachineName 從網(wǎng)絡訪問此計算機 Users 調(diào)整進程內(nèi)存配額 Administrators 調(diào)整進程內(nèi)存配額 IWAM_MachineName 調(diào)整進程內(nèi)存配額 Local service 調(diào)整進程內(nèi)存配額 Network service 跳過遍歷檢查 IIS_WPG 允許本地登錄（請參見“注意”

18、） Administrators 允許本地登錄（請參見“注意”） IUSR_MachineName 拒絕本地登錄 ASPNET 在身份驗證之后模擬客戶端 Administrators 在身份驗證之后模擬客戶端 ASPNET 在身份驗證之后模擬客戶端 IIS_WPG 在身份驗證之后模擬客戶端 Service 作為批處理作業(yè)登錄 ASPNET 作為批處理作業(yè)登錄 IIS_WPG 作為批處理作業(yè)登錄 IUSR_MachineName 作為批處理作業(yè)登錄 IWAM_MachineName 作為批處理作業(yè)登錄 Local service 作為服務登錄 ASPNET 作為服務登錄 Network serv

19、ice 替換進程級別令牌 IWAM_MachineName 替換進程級別令牌 Local service 替換進程級別令牌 Network service 注意：在以默認設置全新安裝的帶有 IIS 6.0 的 Microsoft Windows Server 2003 中，Users 組和 Everyone 組都擁有“跳過遍歷檢查”權(quán)限。工作進程標識通過這兩個組當中的一個繼承“跳過遍歷檢查”權(quán)限。如果從“跳過遍歷檢查”權(quán)限中刪除這兩個組，工作進程標識將不會通過任何其他分配繼承“跳過遍歷檢查”權(quán)限，因此工作進程將無法啟動。如果必須從“跳過遍歷檢查”權(quán)限中刪除 Users 組和 Everyone

20、組，請?zhí)砑?IIS_WPG 組以允許 IIS 按預期方式運行。 注意：在 IIS 6.0 中，如果將基本身份驗證配置為身份驗證選項之一，則基本身份驗證的“LogonMethod”元數(shù)據(jù)庫屬性將為 NETWORK_CLEARTEXT。NETWORK_CLEARTEXT 登錄類型不需要“允許本地登錄”用戶權(quán)限。這同樣適用于匿名身份驗證。有關其他信息，請參見 IIS 幫助中的“基本身份驗證默認登錄類型”主題。您也可以訪問下面的 Microsoft 網(wǎng)站： 基本身份驗證 ( iis權(quán)限設置如何設置 Web 服務器的權(quán)限？如果Web服務器的權(quán)限沒有設置好，那么網(wǎng)站就會出現(xiàn)漏洞并且很可能會出現(xiàn)被不懷好意的

21、人黑掉的情況。我們不應該把這歸咎于 IIS 的不安全。如果對站點的每個目錄都配以正確的權(quán)限，出現(xiàn)漏洞被人黑掉的機會還是很小的（Web 應用程序本身有問題和通過其它方式入侵黑掉服務器的除外）。下面是我在配置過程中總結(jié)的一些經(jīng)驗，希望對大家有所幫助。 IIS Web 服務器的權(quán)限設置有兩個地方，一個是 NTFS 文件系統(tǒng)本身的權(quán)限設置，另一個是 IIS 下網(wǎng)站-站點-屬性-主目錄（或站點下目錄-屬性-目錄）面板上。這兩個地方是密切相關的。下面以實例的方式來講解如何設置權(quán)限。iis權(quán)限和NTFS權(quán)限的區(qū)別iis權(quán)限就相當于規(guī)定iis在依據(jù)http協(xié)議進行工作的時候能夠進行那些動作.比如,如果iis打

22、開了寫的權(quán)限,就以為著可以根據(jù)http協(xié)議在客戶端直接上傳文件到服務器端.由于客戶端和iis能夠依據(jù)一些指令進行交互.所以給于iis過多的權(quán)限會有很大的風險.而NTFS權(quán)限是服務器端文件系統(tǒng)的.這個文件系統(tǒng)客戶端是不可能直接和他打交道的.只有該計算機的相關用戶才能在此權(quán)限下操作.IIS 下網(wǎng)站-站點-屬性-主目錄（或站點下目錄-屬性-目錄）面板上有：腳本資源訪問讀取寫入瀏覽記錄訪問索引資源 6 個選項。這 6 個選項中，“記錄訪問”和“索引資源”跟安全性關系不大，一般都設置。但是如果前面四個權(quán)限都沒有設置的話，這兩個權(quán)限也沒有必要設置。在設置權(quán)限時，記住這個規(guī)則即可，后面的例子中不再特別說明這

23、兩個權(quán)限的設置。 另外在這 6 個選項下面的執(zhí)行權(quán)限下拉列表中還有：無純腳本純腳本和可執(zhí)行程序3 個選項。 而網(wǎng)站目錄如果在 NTFS 分區(qū)（推薦用這種）的話，還需要對 NTFS 分區(qū)上的這個目錄設置相應權(quán)限，許多地方都介紹設置 everyone 的權(quán)限，實際上這是不好的，其實只要設置好 Internet 來賓帳號（IUSR_xxxxxxx）或 IIS_WPG 組的帳號權(quán)限就可以了。如果是設置 ASP、PHP 程序的目錄權(quán)限，那么設置 Internet 來賓帳號的權(quán)限，而對于 ASP.NET 程序，則需要設置 IIS_WPG 組的帳號權(quán)限。在后面提到 NTFS 權(quán)限設置時會明確指出，沒有明確指

24、出的都是指設置 IIS 屬性面板上的權(quán)限。例1 ASP、PHP、ASP.NET 程序所在目錄的權(quán)限設置： 如果這些程序是要執(zhí)行的，那么需要設置“讀取”權(quán)限，并且設置執(zhí)行權(quán)限為“純腳本”。不要設置“寫入”和“腳本資源訪問”，更不要設置執(zhí)行權(quán)限為“純腳本和可執(zhí)行程序”。NTFS 權(quán)限中不要給 IIS_WPG 用戶組和 Internet 來賓帳號設置寫和修改權(quán)限。如果有一些特殊的配置文件（而且配置文件本身也是 ASP、PHP 程序），則需要給這些特定的文件配置 NTFS 權(quán)限中的 Internet 來賓帳號（ASP.NET 程序是 IIS_WPG 組）的寫權(quán)限，而不要配置 IIS 屬性面板中的“寫入

25、”權(quán)限。 IIS 面板中的“寫入”權(quán)限實際上是對 HTTP PUT 指令的處理，對于普通網(wǎng)站，一般情況下這個權(quán)限是不打開的。 IIS 面板中的“腳本資源訪問”不是指可以執(zhí)行腳本的權(quán)限，而是指可以訪問源代碼的權(quán)限，如果同時又打開“寫入”權(quán)限的話，那么就非常危險了。 執(zhí)行權(quán)限中“純腳本和可執(zhí)行程序”權(quán)限可以執(zhí)行任意程序，包括 exe 可執(zhí)行程序，如果目錄同時有“寫入”權(quán)限的話，那么就很容易被人上傳并執(zhí)行木馬程序了。 對于 ASP.NET 程序的目錄，許多人喜歡在文件系統(tǒng)中設置成 Web 共享，實際上這是沒有必要的。只需要在 IIS 中保證該目錄為一個應用程序即可。如果所在目錄在 IIS 中不是一個

26、應用程序目錄，只需要在其屬性-目錄面板中應用程序設置部分點創(chuàng)建就可以了。Web 共享會給其更多權(quán)限，可能會造成不安全因素。總結(jié): 也就是說一般不要打開-主目錄-(寫入),(腳本資源訪問) 這兩項以及不要選上(純腳本和可執(zhí)行程序),選(純腳本)就可以了.需要的應用程序的如果應用程序目錄不止應用程序一個程序的可以在應用程序文件夾上(屬性)-目錄-點創(chuàng)建就可以了.不要在文件夾上選web共享.例2 上傳目錄的權(quán)限設置： 用戶的網(wǎng)站上可能會設置一個或幾個目錄允許上傳文件，上傳的方式一般是通過 ASP、PHP、ASP.NET 等程序來完成。這時需要注意，一定要將上傳目錄的執(zhí)行權(quán)限設為“無”，這樣即使上傳了

27、 ASP、PHP 等腳本程序或者 exe 程序，也不會在用戶瀏覽器里就觸發(fā)執(zhí)行。 同樣，如果不需要用戶用 PUT 指令上傳，那么不要打開該上傳目錄的“寫入”權(quán)限。而應該設置 NTFS 權(quán)限中的 Internet 來賓帳號（ASP.NET 程序的上傳目錄是 IIS_WPG 組）的寫權(quán)限。 如果下載時，是通過程序讀取文件內(nèi)容然后再轉(zhuǎn)發(fā)給用戶的話，那么連“讀取”權(quán)限也不要設置。這樣可以保證用戶上傳的文件只能被程序中已授權(quán)的用戶所下載。而不是知道文件存放目錄的用戶所下載。“瀏覽”權(quán)限也不要打開，除非你就是希望用戶可以瀏覽你的上傳目錄，并可以選擇自己想要下載的東西。總結(jié): 一般的一些asp.php等程序

28、都有一個上傳目錄.比如論壇.他們繼承了上面的屬性可以運行腳本的.我們應該將這些目錄從新設置一下屬性.將(純腳本)改成(無).例3 Access 數(shù)據(jù)庫所在目錄的權(quán)限設置： 許多 IIS 用戶常常采用將 Access 數(shù)據(jù)庫改名（改為 asp 或者 aspx 后綴等）或者放在發(fā)布目錄之外的方法來避免瀏覽者下載它們的 Access 數(shù)據(jù)庫。而實際上，這是不必要的。其實只需要將 Access 所在目錄（或者該文件）的“讀取”、“寫入”權(quán)限都去掉就可以防止被人下載或篡改了。你不必擔心這樣你的程序會無法讀取和寫入你的 Access 數(shù)據(jù)庫。你的程序需要的是 NTFS 上 Internet 來賓帳號或 I

29、IS_WPG 組帳號的權(quán)限，你只要將這些用戶的權(quán)限設置為可讀可寫就完全可以保證你的程序能夠正確運行了。總結(jié): Internet 來賓帳號或 IIS_WPG 組帳號的權(quán)限可讀可寫.那么Access所在目錄（或者該文件）的“讀取”、“寫入”權(quán)限都去掉就可以防止被人下載或篡改了例4 其它目錄的權(quán)限設置： 你的網(wǎng)站下可能還有純圖片目錄、純 html 模版目錄、純客戶端 js 文件目錄或者樣式表目錄等，這些目錄只需要設置“讀取”權(quán)限即可，執(zhí)行權(quán)限設成“無”即可。其它權(quán)限一概不需要設置。 上面的幾個例子已經(jīng)包含了大部分情況下的權(quán)限設置，只要掌握了設置的基本原理，也就很容易地完成能其它情況下的權(quán)限設置。-向

30、IIS傳文件大家可能都會去寫一個接收的頁面，其實只要在IIS里設置“允許寫”就可以直接向IIS所在的虛擬目錄中上傳文件了，不過這個很危險，本人并不建議使用，因為你可以方便上傳下載文件，也代表其他人也可以輕易上傳下載文件。IIS6.0權(quán)限設置來源：本站整理作者：佚名時間：2014-11-24TAG：我要投稿雖然IIS的漏洞比較多，但是如果能夠?qū)eb主目錄或一些關鍵的子目錄進行適當?shù)臋?quán)限設置，那么還是可以提高IIS安全性的。IIS中主要有兩個地方可以設置權(quán)限，一是目錄本身的NTFS權(quán)限，另一個是IIS管理器里【主目錄】屬性面板中的權(quán)限設置。對于NTFS權(quán)限設置，首先主目錄不能允許everyone

31、可以訪問，另外對于匿名用戶所對應的Internet來賓賬號（IUSR_xxxxxxx）不能給予過高的權(quán)限。NTFS權(quán)限大家都比較熟悉，下面主要對主目錄屬性面板中的權(quán)限進行介紹。（1）腳本資源訪問具有該權(quán)限，客戶端就可以瀏覽網(wǎng)頁的源代碼，所以這項權(quán)限一般不啟用。（2）讀取這是一項基本權(quán)限，具有該權(quán)限，客戶端才可以瀏覽網(wǎng)頁。（3）寫入具有該權(quán)限，客戶端就可以上傳或修改網(wǎng)頁，一般不啟用。（4）目錄瀏覽具有該權(quán)限，客戶端就可以瀏覽某個目錄中的網(wǎng)頁文件，一般不啟用。比如賦予admin目錄“目錄瀏覽”權(quán)限，那么在客戶端就可以直接查看admin目錄中的內(nèi)容。（5）記錄訪問、索引資源這兩項權(quán)限跟安全性關系不大，一般都啟用。另外在屬性面板的下方還有三種不同的執(zhí)行權(quán)限，執(zhí)行權(quán)限主要用于設置能否執(zhí)行目錄中的asp腳本文件。（6）“無”權(quán)限目錄沒有任何執(zhí)行權(quán)限，客戶端就無法在目錄中執(zhí)行腳本文件，而只能瀏覽靜態(tài)網(wǎng)頁或圖片。對于網(wǎng)站中的上傳目錄，一定要將其執(zhí)行權(quán)限設為“無”，這樣黑客即使